تمت ملاحظة مجموعة التهديد التي تم تتبعها على أنها REF2924 تنشر برامج ضارة غير مرئية من قبل في هجماتها التي تستهدف الكيانات في جنوب وجنوب شرق آسيا.
البرنامج الضار ، الذي أطلق عليه اسم NAPLISTENER بواسطة Elastic Security Labs ، هو مستمع HTTP مبرمج في C # وهو مصمم للتهرب من "أشكال الاكتشاف المستندة إلى الشبكة".
REF2924 هو اللقب المخصص لمجموعة الأنشطة المرتبطة بالهجمات ضد كيان في أفغانستان وكذلك مكتب الشؤون الخارجية لعضو في رابطة دول جنوب شرق آسيا في عام 2022.
يقترح أسلوب عمل ممثل التهديد وجود تداخل مع مجموعة قرصنة أخرى يطلق عليها اسم ChamelGang ، والتي تم توثيقها من قبل شركة الأمن السيبراني الروسية Positive Technologies في أكتوبر 2021.
يقال إن الهجمات التي دبرتها المجموعة استغلت خوادم Microsoft Exchange المكشوفة على الإنترنت لنشر الأبواب الخلفية مثل DOORME و SIESTAGRAPH و ShadowPad.
توفر DOORME ، وهي وحدة باب خلفي لخدمات معلومات الإنترنت ( IIS ) ، الوصول عن بُعد إلى شبكة متنازع عليها وتنفذ برامج وأدوات ضارة إضافية.
يستخدم SIEST _
ShadowPad عبارة عن باب خلفي معياري يباع بشكل خاص وخليفة لـ PlugX ، مما يمكّن الجهات الفاعلة في التهديد من الحفاظ على الوصول المستمر إلى أجهزة الكمبيوتر المعرضة للخطر وتشغيل أوامر shell وحمولات المتابعة.
يعد استخدام ShadowPad جديرًا بالملاحظة لأنه يشير إلى ارتباط محتمل بمجموعات القرصنة الموجودة في الصين ، والتي يُعرف عنها استخدام البرامج الضارة في حملات مختلفة على مر السنين.
إلى قائمة توسيع ترسانة البرامج الضارة التي يستخدمها REF2924 ينضم إلى NAPLISTENER ("wmdtc.exe") ، الذي يتنكر كخدمة شرعية منسق المعاملات الموزعة لـ Microsoft ("msdtc.exe") في محاولة للتنقل تحت الرادار وإنشاء وصول مستمر.
وقال الباحث الأمني ريمكو سبروتين: "ينشئ NAPLISTENER مستمع طلبات HTTP يمكنه معالجة الطلبات الواردة من الإنترنت ، وقراءة أي بيانات تم إرسالها ، وفك تشفيرها من تنسيق Base64 ، وتنفيذها في الذاكرة".
يقترح تحليل الكود أن الفاعل يستعير أو يعيد توظيف الكود من مشاريع مفتوحة المصدر مستضافة على GitHub لتطوير أدواته الخاصة ، وهي إشارة إلى أن REF2924 قد يكون نشطًا في شحذ مجموعة من الأسلحة السيبرانية.
تأتي النتائج أيضًا في الوقت الذي تم فيه استهداف منظمة فيتنامية في أواخر كانون الأول (ديسمبر) 2022 بواسطة باب خلفي Windows غير معروف سابقًا باسم PIPEDANCE لتسهيل أنشطة ما بعد التسوية والحركة الجانبية ، بما في ذلك Cobalt Strike .